准备工作

  1. 下载helm的二进制包
wget https://storage.googleapis.com/kubernetes-helm/helm-v2.13.1-linux-amd64.tar.gz
  1. 解压
tar zxvf helm-v2.13.1-linux-amd64.tar.gz
  1. 把helm添加到path
cp linux-amd64/helm /usr/bin/

helm -h 能够打印出helm命令的帮助信息

  1. 创建一个helm的文件夹,用于存放安装helm的信息
mkdir helm
cd helm

创建helm的rbac

  1. 创建rbac-config.yaml,内容如下:
apiVersion: v1
kind: ServiceAccount
metadata:
  name: tiller
  namespace: kube-system
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: tiller
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-admin
subjects:
  - kind: ServiceAccount
    name: tiller
    namespace: kube-system
  1. 在集群中创建helm的rbac信息。
kubectl apply -f rbac-config.yaml

创建helm的ssl证书

  1. 生成证书颁发机构(Certificate Authority)
openssl genrsa -out ./ca.key.pem 4096
openssl req -key ca.key.pem -new -x509 -days 7300 -sha256 -out ca.cert.pem -extensions v3_ca
  1. 生成证书(Certificates)

生成两个证书,一个用于tiller,另一个用于user

2-1. 生成tiller key和证书,并使用CA进行签名(根据实际情况调整days天数)

openssl genrsa -out ./tiller.key.pem 4096
openssl req -key tiller.key.pem -new -sha256 -out tiller.csr.pem
openssl x509 -req -CA ca.cert.pem -CAkey ca.key.pem -CAcreateserial -in tiller.csr.pem -out tiller.cert.pem -days 365

2-2. 生成client key和证书,并使用CA进行签名(根据实际情况调整days天数)

openssl genrsa -out ./helm.key.pem 4096
openssl req -key helm.key.pem -new -sha256 -out helm.csr.pem
openssl x509 -req -CA ca.cert.pem -CAkey ca.key.pem -CAcreateserial -in helm.csr.pem -out helm.cert.pem  -days 365

此时,该文件夹下应该有以下文件

# CA相关的文件
ca.cert.pem
ca.key.pem
# Helm client 相关的文件。
helm.cert.pem
helm.key.pem
# helm tiller相关的文件.
tiller.cert.pem
tiller.key.pem
# helm的rbac配置文件
rbac-config.yaml
  1. 创建自定义的tiller安装。
helm init --dry-run --debug --tiller-tls --tiller-tls-cert ./tiller.cert.pem --tiller-tls-key ./tiller.key.pem --tiller-tls-verify --tls-ca-cert ca.cert.pem --service-account tiller >> helm.yaml

此时,ls应该能够看到一个名为helm.yaml的文件,修改这个文件的Deployment.spec.template.spec.images7799653/kubernetes-helm-tiller:v2.13.1(第34行)

部署到集群中:

kubectl apply -f helm.yaml
  1. 配置helm client
cp ca.cert.pem $(helm home)/ca.pem
cp helm.cert.pem $(helm home)/cert.pem
cp helm.key.pem $(helm home)/key.pem
  1. 验证

查看pod是否正常

kubectl get deploy -l app=helm -n kube-system
# 正常输出是这样的。
NAME            READY   UP-TO-DATE   AVAILABLE   AGE
tiller-deploy   1/1     1            1           5h1m

运行helm命令是否正常

helm version --tls
# 正常的状态是这样的
Client: &version.Version{SemVer:"v2.13.1", GitCommit:"618447cbf203d147601b4b9bd7f8c37a5d39fbb4", GitTreeState:"clean"}
Server: &version.Version{SemVer:"v2.13.1", GitCommit:"618447cbf203d147601b4b9bd7f8c37a5d39fbb4", GitTreeState:"clean"}

# 如果不加 --tls
helm ls
# 输出是这样的(会卡一会)
Error: transport is closing
Logo
Cloudpods

开源、云原生的融合云平台

更多推荐

面向未来的 IT 基础设施管理架构——融合云(Unified IaaS)

随着数字化时代的到来,IT系统已成为人类社会正常运转不可或缺的组成部分。不远的未来,智能制造,5G和人工智能等技术将成为推动生产力发展的重要引擎,人类社会将面临前所未有的全面彻底的数字化浪潮。IT基础设施作为IT系统运行的平台和载体,是实现数字化的基石。在这场数字化浪潮中,企业必须积极拥抱云计算技术,采用符合技术发展趋势、面向未来的IT基础构架,才能在未来的竞争中赢得先机。 一、云计算历经十余年

avatar Cloudpods

Cloudpods负载均衡的功能介绍

作者:周有松 今天的内容会从以下几个方面展开: 负载均衡产品简介。主要介绍负载均衡作为一个云上产品,它的功能模型是怎样的,日常使用中会遇到的业务词汇负载均衡的功能与典型应用场景。这部分主要结合业务词汇,对负载均衡服务中常见的一些功能选项进行介绍,并举例介绍一些典型的应用场景最后,我们做一下总结,讨论一下负载均衡产品相比传统方式的优点 一、产品简介​ 1. 以NGINX为例​ 提到负载均衡,我们以

avatar Cloudpods

使用Linux vfio将Nvidia GPU透传给QEMU虚拟机

Linux 上虚拟机 GPU 透传需要使用 vfio 的方式。主要是因为在 vfio 方式下对虚拟设备的权限和 DMA 隔离上做的更好。但是这么做也有个缺点,这个物理设备在主机和其他虚拟机都不能使用了。 qemu 直接使用物理设备本身命令行是很简单的,关键在于事先在主机上对系统、内核和物理设备的一些配置。 单纯从 qemu 的命令行来看,其实和普通虚拟机启动就差了最后那个-device的选项。这

avatar Cloudpods